企业信息安全负责人员
企业信息安全技术人员、管理人员
企业IT运维人员(网络、系统、机房等)
企业IT及信息安全审计人员
其他信息安全从业人员
学员至少拥有5年以上IT从业背景,具备2年以上信息安全相关*经验。
学完本课程后,学员可以全面掌握如下内容:
安全与风险管理(安全、风险、合规、法律、法规、业务连续性)
资产安全(保护资产的安全性)
安全工程(安全工程与管理)
通信与网络安全(设计和保护网络安全)
身份与访问管理(访问控制和身份管理)
安全评估与测试(设计、执行和分析安全测试)
安全运营(基本概念、调查、事件管理、灾难恢复)
软件开发安全(理解、应用、和实施软件安全)
一、CISSP-安全与风险管理域
1.理解并应用机密性、完整性,和可用性的概念
2.应用安全治理原则
3.符合性
4.理解全球范围内属于信息安全的法律法规问题
5.理解职业道德
6.制定并实施文档化的安全策略,标准,过程,和指南
7.理解业务连续性需求
8.促成人员安全策略
9.理解并应用风险管理概念
10.理解并应用威胁建模
11.将安全风险考虑整合到采购策略并实践之
12.建立并管理安全教育,培训,和意识
二、CISSP-资产安全领域
1.信息和支持性资产分级
2.确定和维护所有权
3.保护隐私
4.确定合适的保存
5.确定数据安全控制
6.确定数据处理的需求
三、CISSP-安全工程域
1.依照安全设计原则执行和管理工程生命周期。
2.了解安全模型的基本概念。
3.依照信息系统安全标准挑选控制和对策。
4.了解信息系统的安全能力。
5.评价和抑制安全架构、设计和解决方案元素的脆弱性。
6.评价和抑制Web系统的脆弱性。
7.评价和抑制移动系统的脆弱性。
8.评价和抑制嵌入式设备和网络化物理系统的脆弱性。
9.应用密码技术。
10.把安全原则应用到场地和设施设计。
11.设计和执行设施安全。
四、CISSP-通信和网络安全域
1.将安全设计原理应用到网络架构
2.网络组件安全
3.设计和建立安全通信通道
4.预防或减轻网络攻击
五、CISSP-身份与访问管理领域
1.资产的物理和逻辑访问控制
2.人员和设备的身份标识、认证和管理
3.身份作为服务(IDaaS)
4.集成的第三方身份认证服务
5.实施和管理授权机制
6.预防或减少访问控制攻击
7.管理身份和配置访问生命周期
六、CISSP-安全评估和测试领域
1.设计和验证评估和测试战略
2.执行安全控制测试
3.收集安全过程数据
4.执行或支持内部和第三方审计
七、CISSP-安全运营领域
1.理解和支持研究
2.理解研究类型的需求
3.行为记录和监控活动
4.通过配置管理安全的提供资源
5.理解和应用基本的安全操作概念
6.使用资源保护技术
7.实施事件响应
8.操作和维护防范措施
9.实施和支持补丁和漏洞管理
10.参与并了解变更管理流程
11.实施恢复策略
12.实施灾难恢复流程
13.测试灾难恢复计划
14.参与业务连续性规划*
15.实施和管理物理安全
16.参与人员安全
八、CISSP-软件开发域
1.理解安全并将其应用于软件开发生命周期
2.在开发环境中实施安全控制
3.评估软件安全的有效性
4.评估软件采购安全
